CVE-2023-27524 Detection: New Vulnerability Exposes Thousands of Apache Superset Servers to RCE Attacks

인기 있는 오픈 소스 데이터 시각화 및 데이터 탐색 도구인 Apache Superset이 인증 우회 및 원격 코드 실행(RCE) 취약점에 노출되어 위협 행위자가 대상 서버에 대한 관리자 액세스를 획득하고 사용자 자격 증명을 수집하여 데이터를 손상시킬 수 있는 것으로 주장되고 있습니다. 발견된 버그는 CVE-2023-27524로 추적되는 안전하지 않은 기본 구성 결함이며, GitHub에 기본적인 개념 증명 익스플로잇 코드(PoC)가 이미 공개되었습니다.

CVE-2023-27524 익스플로잇 시도 탐지

CVE-2023-27524 PoC 익스플로잇 코드가 GitHub에 공개되어 있는 점을 감안할 때, 조직의 인프라를 잠재적인 RCE 공격으로부터 보호하기 위해 적시 탐지와 선제적인 사이버 방어가 중요합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 CVE-2023-27524 익스플로잇 패턴 탐지를 목표로 하는 전문화된 Sigma 규칙을 제공합니다:

Apache Superset CVE-2023-27524 PoC IOC 탐지 가능성 (웹 서버를 통해)

이 Sigma 규칙은 공격자가 취약한 Apache Superset 서버에 초기 액세스를 획득할 수 있게 하는 CVE-2023-27524 익스플로잇 시도를 탐지합니다. 이 탐지는 14개의 SIEM, EDR, XDR 플랫폼과 호환되며 MITRE ATT&CK 프레임워크와 v12에 맞추어 설계되었으며, 초기 액세스 전술과 Exploit Public-Facing Application (T1190)을 대응 기술로 다루고 있습니다. 해커가 탐지를 회피하기 위해 공격 패턴을 수정할 수 있다는 점에 주의하시길 바랍니다.

공격자를 압도하고 새로운 취약점과 관련된 위협에 항상 대응하기 위해, SOC Prime은 조직이 사이버 보안 태세를 최적화할 수 있도록 돕는 전문화된 탐지 콘텐츠를 제공합니다. “ 탐지 탐색 ” 버튼을 클릭하면 조직은 유행하는 취약점의 악성 행동을 식별하기 위한 더 많은 탐지 알고리즘에 즉시 접근할 수 있습니다. 원활한 위협 조사를 위해 팀은 ATT&CK 및 CTI 참조를 포함한 관련 메타데이터에 대한 세부적인 정보를 조사할 수도 있습니다.

탐지 탐색

CVE-2023-27524 분석: RCE Apache Superset 취약점

Horizon3.ai 는 Apache Superset 서버에서 CVE-2023-27524로 알려진 새로운 취약점을 최근 발견했으며, CVSS 점수는 8.9입니다. 연구에 따르면 회사의 모든 서버 중 약 2/3가 이 안전하지 않은 기본 구성을 사용하고 있습니다. 이 결함은 버전 1.4.1에서 2.0.1에 이르는 서버 인스턴스에 영향을 미치며, 기본 SECRET_KEY 값을 적용하여 위협 행위자가 이를 노출시켜 불법적인 접근을 할 수 있게 합니다. 영향받은 조직에는 대규모 기업과 중소기업이 포함되며 정부 기관 및 대학을 포함한 다양한 산업 부문이 해당합니다.

성공적인 익스플로잇 후, Apache Superset 세션 키를 알고 있는 적은 관리자 권한으로 로그인할 수 있으며, 데이터베이스에 접근하고 추가로 수정하거나 삭제할 수 있으며, 컴프리미스된 데이터베이스 및 서버 자체에서 RCE를 수행할 수 있습니다. 결과적으로, 공격자는 사용자 및 데이터베이스 자격 증명과 같은 민감한 데이터를 수집하여 시스템을 추가로 위협할 수 있습니다.

Superset 고객이 증가하고 기본 구성이 널리 사용됨에 따라, 수천 개의 글로벌 조직이 잠재적인 RCE 공격에 노출될 수 있습니다.  

위협을 해결하기 위해, 회사 팀은 기본 비밀 키 구성 기반으로 실행되는 경우 서버가 시작되지 않도록 하는 2.1 제품 버전의 업데이트를 발표했습니다. 하지만 이는 만병통치약이 아니며, 도커 컴포즈 파일이나 헬름 템플릿을 통해 설치된 서버 인스턴스는 여전히 기본 키를 계속 사용합니다.

CVE-2023-27524 PoC 익스플로잇 코드 가 GitHub에서 Horizon3.ai 팀에 의해 공개됨에 따라, 조직은 해당 스크립트를 적용하여 Apache Superset 서버가 위험한 기본 구성을 사용하는지 확인할 수 있습니다. 후자가 서버 인스턴스가 취약할 수 있다고 확인한다면, 조직은 사용 가능한 패치와 함께 최신 버전으로 업데이트하거나 이를 제거할 것을 강력히 권장합니다.

Sigma, MITRE ATT&CK, Detection as Code를 활용하여 탐지 능력을 강화하고 위협 사냥 속도를 가속화하여 모든 적대 행위자 TTP 또는 익스플로잇 가능한 취약점을 항상 준비된 탐지 알고리즘으로 방어하십시오. 800개의 기존 CVE에 대한 규칙을 얻어 가장 중요한 위협에 대해 선제적인 방어 조치를 취하십시오. 140개 이상의 Sigma 규칙을 무료로 즉시 이용할 수 있습니다. https://socprime.com/ 또는 On Demand 기능으로 모든 관련 탐지 알고리즘을 얻으십시오. https://my.socprime.com/pricing/.